Bir Japon bakan bilgisayar korsanlarını nasıl şaşırttı?
Içerik
İster siber suçlar, ister siber savaşlar olsun, düşmanı gizleme, kılık değiştirme ve yanıltma yöntemlerinin sayısı amansız bir şekilde artıyor. Günümüzde hackerların çok nadiren, ün ya da iş uğruna yaptıklarını ifşa ettikleri söylenebilir.
Geçen yılki açılış töreninde bir dizi teknik arıza Kış Olimpiyatları Kore'de bir siber saldırının sonucuydu. Guardian, Games web sitesinin kullanılamamasının, stadyumdaki Wi-Fi arızasının ve basın odasındaki kırık televizyonların, başlangıçta düşünülenden çok daha karmaşık bir saldırının sonucu olduğunu bildirdi. Saldırganlar, organizatörlerin ağına önceden erişim sağladılar ve çok sayıda güvenlik önlemine rağmen birçok bilgisayarı çok kurnazca devre dışı bıraktılar.
Etkileri görülene kadar düşman görünmezdi. Yıkım bir kez görüldükten sonra büyük ölçüde öyle kaldı (1). Saldırının arkasında kimin olduğuna dair birkaç teori var. En popülere göre, izler Rusya'ya yol açtı - bazı yorumculara göre bu, Rusya'nın devlet pankartlarının Oyunlardan kaldırılmasının intikamı olabilir.
Diğer şüpheler, her zaman güney komşusunu kızdırmak isteyen Kuzey Kore'ye veya bir hacker gücü olan ve genellikle şüpheliler arasında yer alan Çin'e yöneltildi. Ancak tüm bunlar, reddedilemez kanıtlara dayanan bir sonuç olmaktan çok, dedektif bir çıkarımdı. Ve bu vakaların çoğunda, yalnızca bu tür spekülasyonlara mahkumuz.
Kural olarak, bir siber saldırının yazarlığını belirlemek zor bir iştir. Suçlular genellikle tanınabilir hiçbir iz bırakmazlar, aynı zamanda yöntemlerine kafa karıştırıcı ipuçları da eklerler.
böyleydi Polonya bankalarına saldırı 2017'nin başında. Bangladeş Ulusal Bankası'na yönelik yüksek profilli saldırıyı ilk kez tanımlayan BAE Systems, Polonya bankalarındaki bilgisayarları hedef alan kötü amaçlı yazılımın bazı unsurlarını dikkatle inceledi ve yazarlarının Rusça konuşan kişileri taklit etmeye çalıştıkları sonucuna vardı.
Kodun unsurları, garip harf çevirisine sahip Rusça kelimeler içeriyordu - örneğin, olağandışı "istemci" biçimindeki Rusça kelime. BAE Systems, saldırganların Google Çeviri'yi, Rusça kelimeleri kullanarak Rus bilgisayar korsanları gibi davranmak için kullandığından şüpheleniyor.
Mayıs'ta 2018 Banco de Chile sorunları olduğunu kabul ederek, müşterilerin ATM'lerin yanı sıra internet ve mobil bankacılık hizmetlerini kullanmalarını tavsiye etti. Bölümlerde bulunan bilgisayarların ekranlarında uzmanlar, disklerin önyükleme sektörlerinde hasar belirtileri buldu.
Birkaç gün internette gezindikten sonra, binlerce bilgisayarda devasa disk bozulmasının gerçekten meydana geldiğini doğrulayan izler bulundu. Resmi olmayan bilgilere göre, sonuçlar 9 bin kişiyi etkiledi. bilgisayarlar ve 500 sunucu.
Daha fazla araştırma, virüsün saldırı sırasında bankadan kaybolduğunu ortaya çıkardı. 11 milyonve diğer kaynaklar daha da büyük bir miktara işaret ediyor! Güvenlik uzmanları, sonunda banka bilgisayarının hasarlı disklerinin, bilgisayar korsanlarının çalması için kamuflaj olduğu sonucuna vardı. Ancak banka bunu resmi olarak doğrulamamaktadır.
Hazırlanmak için sıfır gün ve sıfır dosya
Geçen yıl boyunca, dünyanın en büyük şirketlerinin neredeyse üçte ikisi siber suçlular tarafından başarıyla saldırıya uğradı. En sık olarak, sıfır gün güvenlik açıklarına dayanan ve sözde teknikleri kullandılar. dosyasız saldırılar
Ponemon Enstitüsü tarafından Barkly adına hazırlanan State of Endpoint Security Risk raporunun bulguları bunlar. Her iki saldırı tekniği de giderek daha fazla popülerlik kazanan görünmez düşmanın çeşitleridir.
Araştırmanın yazarlarına göre, yalnızca geçen yıl dünyanın en büyük kuruluşlarına yönelik saldırıların sayısı %20 arttı. Rapordan ayrıca, bu tür eylemlerin sonucu olarak ortaya çıkan ortalama kaybın, saldırıya uğrayan pozisyon başına 7,12 dolar olan her birinin 440 milyon dolar olduğu tahmin ediliyor. Bu miktarlar, hem suçluların neden olduğu belirli kayıpları hem de saldırıya uğrayan sistemleri orijinal durumlarına geri yükleme maliyetlerini içerir.
Tipik saldırılara karşı koymak son derece zordur, çünkü bunlar genellikle ne üreticinin ne de kullanıcıların farkında olmadığı yazılımdaki güvenlik açıklarına dayanır. İlki uygun güvenlik güncellemesini hazırlayamaz ve ikincisi uygun güvenlik prosedürlerini uygulayamaz.
Ponemon Enstitüsü temsilcileri, "Başarılı saldırıların %76 kadarı, sıfırıncı gün güvenlik açıklarının veya önceden bilinmeyen bazı kötü amaçlı yazılımların istismarına dayanıyordu; bu, daha önce siber suçlular tarafından kullanılan klasik tekniklerden dört kat daha etkili oldukları anlamına geliyor" diye açıklıyor. .
İkinci görünmez yöntem, dosyasız saldırılar, kullanıcının herhangi bir dosyayı indirmesini veya çalıştırmasını gerektirmeden çeşitli "hileler" kullanarak (örneğin, bir web sitesine bir istismar enjekte ederek) sistemde kötü amaçlı kod çalıştırmaktır.
Kötü amaçlı dosyaları (Office belgeleri veya PDF dosyaları gibi) kullanıcılara göndermek için yapılan klasik saldırılar giderek daha az etkili hale geldiğinden, suçlular bu yöntemi giderek daha sık kullanıyor. Ek olarak, saldırılar genellikle zaten bilinen ve giderilen yazılım güvenlik açıklarına dayanır - sorun, birçok kullanıcının uygulamalarını yeterince sık güncellememesidir.
Yukarıdaki senaryodan farklı olarak, kötü amaçlı yazılım yürütülebilir dosyayı diske yerleştirmez. Bunun yerine, bilgisayarınızın RAM olan dahili belleğinde çalışır.
Bu, geleneksel virüsten koruma yazılımının, kendisine işaret eden dosyayı bulamayacağı için kötü amaçlı bir bulaşmayı tespit etmekte zorlanacağı anlamına gelir. Kötü amaçlı yazılım kullanımı yoluyla, bir saldırgan alarm vermeden bilgisayardaki varlığını gizleyebilir ve çeşitli türlerde hasarlara neden olabilir (bilgi hırsızlığı, ek kötü amaçlı yazılım indirme, daha yüksek ayrıcalıklara erişim vb.).
Dosyasız kötü amaçlı yazılım da (AVT) olarak adlandırılır. Bazı uzmanlar bunun (APT)'den bile daha kötü olduğunu söylüyor.
2. Saldırıya uğrayan site hakkında bilgi
HTTPS Yardımcı Olmadığında
Görünüşe göre suçluların sitenin kontrolünü ele geçirdiği, ana sayfanın içeriğini değiştirdiği, üzerine büyük harflerle (2) bilgi yerleştirdiği zamanlar sonsuza dek gitti.
Şu anda, saldırıların amacı öncelikle para elde etmektir ve suçlular her durumda somut finansal faydalar elde etmek için tüm yöntemleri kullanır. Devralma sonrasında taraflar mümkün olduğu kadar uzun süre gizli kalmaya çalışarak kâr elde etmeye veya edinilen altyapıyı kullanmaya çalışırlar.
Kötü korunan web sitelerine kötü amaçlı kod enjekte etmenin finansal (kredi kartı bilgilerinin çalınması) gibi çeşitli amaçları olabilir. Bir zamanlar hakkında yazılmıştı Bulgarca komut dosyaları Polonya Cumhuriyeti Cumhurbaşkanlığı Ofisinin web sitesinde tanıtıldı, ancak yabancı yazı tiplerine bağlantıların amacının ne olduğunu açıkça belirtmek mümkün değildi.
Nispeten yeni bir yöntem, sözde, yani mağaza web sitelerinde kredi kartı numaralarını çalan bindirmelerdir. HTTPS(3) kullanan bir web sitesinin kullanıcısı, belirli bir web sitesinin bu karakteristik sembolle işaretlenip işaretlenmediğini kontrol etmek için zaten eğitilmiştir ve alışmıştır ve bir asma kilidin varlığı, hiçbir tehdit olmadığının kanıtı haline gelmiştir.
3. İnternet adresinde HTTPS'nin tanımı
Ancak, suçlular site güvenliğine bu aşırı güveni farklı şekillerde kullanırlar: ücretsiz sertifikalar kullanırlar, siteye asma kilit şeklinde bir favicon yerleştirirler ve sitenin kaynak koduna virüslü kod enjekte ederler.
Bazı çevrimiçi mağazaların bulaşma yöntemlerinin analizi, saldırganların ATM'lerin fiziksel skimmerlerini . Satın almalar için standart bir transfer yaparken, müşteri tüm verileri (kredi kartı numarası, son kullanma tarihi, CVV numarası, adı ve soyadı) belirttiği bir ödeme formu doldurur.
Ödeme, mağaza tarafından geleneksel şekilde onaylanır ve tüm satın alma süreci doğru bir şekilde gerçekleştirilir. Ancak kullanım durumunda mağaza sitesine bir kod (tek satır JavaScript yeterlidir) enjekte edilerek forma girilen verilerin saldırganların sunucusuna gönderilmesine neden olur.
Bu türün en ünlü suçlarından biri web sitesine yapılan saldırıydı. ABD Cumhuriyetçi Parti Mağazası. Altı ay içinde müşterinin kredi kartı bilgileri çalındı ve bir Rus sunucusuna aktarıldı.
Mağaza trafiği ve karaborsa verileri değerlendirilerek çalınan kredi kartlarının siber suçlulara 600 dolar kar sağladığı belirlendi. dolar.
2018'de de aynı şekilde çalındı. akıllı telefon üreticisi OnePlus müşteri verileri. Şirket, sunucusuna virüs bulaştığını ve aktarılan kredi kartı bilgilerinin doğrudan tarayıcıda gizlendiğini ve bilinmeyen suçlulara gönderildiğini itiraf etti. 40 kişinin verilerinin bu şekilde ele geçirildiği bildirildi. müşteriler.
Ekipman tehlikeleri
Görünürde zararsız bileşenlere gizlice takılan çipler veya casus cihazlar şeklinde, dijital ekipmana dayalı her türlü teknikten oluşan devasa ve büyüyen bir görünmez siber tehdit alanı.
Bloomberg tarafından geçen yıl Ekim ayında açıklanan ek keşif üzerine, minyatür casus cips telekomünikasyon ekipmanlarında, dahil. Apple veya Amazon tarafından satılan Ethernet çıkışlarında (4) 2018'de sansasyon yarattı. İz, Çin'de bir cihaz üreticisi olan Supermicro'ya yol açtı. Ancak, Bloomberg'in bilgileri daha sonra Çinlilerden Apple ve Amazon'a kadar tüm ilgili taraflarca reddedildi.
4. Ethernet ağ bağlantı noktaları
Görünüşe göre, özel implantlardan da yoksun, sessiz bir saldırıda “sıradan” bilgisayar donanımı kullanılabilir. Örneğin, yakın zamanda MT'de hakkında yazdığımız ve sonraki işlemleri "tahmin etme" yeteneğinden oluşan Intel işlemcilerindeki bir hatanın, herhangi bir yazılımın çalışmasına izin verebileceği bulunmuştur (veritabanı motorundan basit JavaScript'e kadar). tarayıcıda) çekirdek belleğinin korunan alanlarının yapısına veya içeriğine erişmek için.
Birkaç yıl önce, elektronik cihazlarda gizlice hacklemenize ve casusluk yapmanıza izin veren ekipmanlar hakkında yazmıştık. İnternetten ulaşılabilen 50 sayfalık "ANT Alışveriş Kataloğu"nu anlattık. Spiegel'in yazdığı gibi, siber savaşta uzmanlaşmış istihbarat ajanları “silahlarını” ondan seçiyor.
Liste, ses dalgası ve 30 dolarlık LOUDAUTO gizli dinleme cihazından 40 dolara kadar çeşitli sınıflardan ürünleri içeriyor. Bir GSM baz istasyonunun kendi kopyanızı kurmak için kullanılan CANDYGRAM dolarları.
Liste yalnızca donanımı değil, aynı zamanda iPhone'a "yerleştirildikten" sonra, diğer şeylerin yanı sıra, dosyaları belleğinden almaya veya ona kaydetmeye izin veren DROPOUTJEEP gibi özel yazılımları da içerir. Böylece mail listeleri, SMS mesajları, sesli mesajlar alabilir, kamerayı kontrol edebilir ve konumlandırabilirsiniz.
Görünmez düşmanların gücü ve her yerde bulunmasıyla karşı karşıya kaldığınızda, bazen çaresiz hissedersiniz. Bu yüzden herkes şaşırmaz ve eğlenmez Yoshitaka Sakurada'nın tutumuTokyo 2020 Olimpiyatları hazırlıklarından sorumlu bakan ve hiç bilgisayar kullanmadığı bildirilen hükümetin siber güvenlik strateji dairesi başkan yardımcısı.
En azından düşmana görünmezdi, ona düşman değil.
Görünmez siber düşmanla ilgili terimlerin listesi
Bir sisteme, cihaza, bilgisayara veya yazılıma gizlice giriş yapmak veya geleneksel güvenlik önlemlerini atlatmak için tasarlanmış kötü amaçlı yazılım.
Tekne – İnternete bağlı, kötü amaçlı yazılım bulaşmış ve benzer virüs bulaşmış cihazlardan oluşan bir ağa dahil olan ayrı bir cihaz. bu genellikle bir bilgisayardır, ancak aynı zamanda bir akıllı telefon, tablet veya IoT bağlantılı ekipman (yönlendirici veya buzdolabı gibi) olabilir. Operasyonel talimatları komuta ve kontrol sunucusundan veya doğrudan ve bazen ağdaki diğer kullanıcılardan alır, ancak her zaman sahibinin bilgisi veya bilgisi olmadan. bir milyona kadar cihaz içerebilir ve günde 60 milyara kadar spam gönderebilirler. Dolandırıcılık amacıyla, çevrimiçi anketler almak, sosyal ağları manipüle etmek ve spam yaymak için kullanılırlar.
- 2017'de, web tarayıcılarında Monero kripto para madenciliği için yeni bir teknoloji ortaya çıktı. Komut dosyası, JavaScript'te oluşturuldu ve herhangi bir sayfaya kolayca gömülebilir. kullanıcı
bir bilgisayar böyle virüslü bir sayfayı ziyaret ederse, cihazının bilgi işlem gücü kripto para madenciliği için kullanılır. Bu tür web sitelerinde ne kadar çok zaman harcarsak, ekipmanımızdaki CPU döngüsü bir siber suçlu tarafından o kadar fazla kullanılabilir.
– Virüs veya arka kapı gibi başka türde bir kötü amaçlı yazılım yükleyen kötü amaçlı yazılım. genellikle geleneksel çözümler tarafından tespit edilmekten kaçınmak için tasarlanmıştır
antivirüs, dahil. Gecikmeli aktivasyon nedeniyle.
Bir bilgisayarı veya sistemi tehlikeye atmak için meşru yazılımdaki bir güvenlik açığından yararlanan kötü amaçlı yazılım.
– belirli kelimelerle ilişkilendirilen alfasayısal/özel karakterlerin dizisi gibi belirli bir klavye kullanımına ilişkin bilgileri toplamak için yazılım kullanmak
"bankofamerica.com" veya "paypal.com" gibi anahtar kelimeler. Bir siber suçlu, birbirine bağlı binlerce bilgisayarda çalışıyorsa, hassas bilgileri hızlı bir şekilde toplama yeteneğine sahiptir.
– Bir bilgisayara, sisteme veya verilere zarar vermek için özel olarak tasarlanmış kötü amaçlı yazılımlar. Truva atları, virüsler ve solucanlar dahil olmak üzere çeşitli türde araçlar içerir.
– İnternete bağlı bir ekipmanın kullanıcısından hassas veya gizli bilgiler elde etme girişimi. Siber suçlular, elektronik içeriği çok çeşitli kurbanlara dağıtmak ve onları bir bağlantıya tıklamak veya bir e-postayı yanıtlamak gibi belirli eylemlerde bulunmaya teşvik etmek için bu yöntemi kullanır. Bu durumda, bilgileri olmadan kullanıcı adı, şifre, banka veya finansal bilgiler veya kredi kartı bilgileri gibi kişisel bilgileri vereceklerdir. Dağıtım yöntemleri arasında e-posta, çevrimiçi reklamcılık ve SMS yer alır. Bir varyant, şirket yöneticileri, ünlüler veya üst düzey devlet görevlileri gibi belirli bireylere veya birey gruplarına yönelik bir saldırıdır.
– Bir bilgisayarın, yazılımın veya sistemin parçalarına gizlice erişmenizi sağlayan kötü amaçlı yazılım. Genellikle donanım işletim sistemini kullanıcıdan gizli kalacak şekilde değiştirir.
- bir bilgisayar kullanıcısını gözetleyen, tuş vuruşlarını, e-postaları, belgeleri yakalayan ve hatta bilgisi olmadan bir video kamerayı açan kötü amaçlı yazılım.
- bir dosyayı, mesajı, resmi veya filmi başka bir dosyada gizleme yöntemi. Karmaşık akışlar içeren görünüşte zararsız görüntü dosyaları yükleyerek bu teknolojiden yararlanın.
C&C kanalı üzerinden (bilgisayar ve sunucu arasında) gönderilen ve yasadışı kullanıma uygun mesajlar. Görüntüler, saldırıya uğramış bir web sitesinde veya hatta
görüntü paylaşım hizmetlerinde.
Şifreleme/karmaşık protokoller iletimleri karartmak için kodda kullanılan bir yöntemdir. Trojan gibi bazı kötü amaçlı yazılım tabanlı programlar, hem kötü amaçlı yazılım dağıtımını hem de C&C (kontrol) iletişimini şifreler.
gizli işlevsellik içeren, kopyalanmayan bir kötü amaçlı yazılım biçimidir. Truva atı genellikle kendini diğer dosyalara yaymaya veya enjekte etmeye çalışmaz.
- ("ses") ve kelimelerinin bir kombinasyonu. Banka veya kredi kartı numaraları gibi hassas kişisel bilgileri elde etmek için telefon bağlantısının kullanılması anlamına gelir.
Tipik olarak kurban, bir finans kuruluşunu, ISS'yi veya teknoloji şirketini temsil ettiğini iddia eden birinden otomatik bir mesaj sorgulaması alır. Mesaj, bir hesap numarası veya bir PIN isteyebilir. Bağlantı etkinleştirildikten sonra, hizmet aracılığıyla saldırgana yönlendirilir ve saldırgan daha sonra ek hassas kişisel veriler talep eder.
(BEC) - belirli bir şirket veya kuruluştan insanları aldatmayı ve kimliğine bürünerek para çalmayı amaçlayan bir saldırı türü
tarafından yönetilen. Suçlular, tipik bir saldırı veya kötü amaçlı yazılım yoluyla kurumsal bir sisteme erişim elde eder. Daha sonra şirketin organizasyon yapısını, finansal sistemlerini ve yönetimin e-posta stilini ve zamanlamasını incelerler.
Ayrıca bakınız:
